URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 125312
[ Назад ]
Исходное сообщение
"Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла"
Отправлено opennews , 21-Сен-21 10:26 
В офисном пакете Apache OpenOffice выявлена уязвимость (CVE-2021-33035), позволяющая добиться выполнения кода при открытии специально оформленного файла в формате DBF. Выявивший проблему исследователь предупредил о создании рабочего эксплоита для платформы Windows. Исправление уязвимости пока доступно только в форме патча в репозитории проекта, который вошёл в состав тестовых сборок OpenOffice 4.1.11. Обновления для стабильной ветки пока не сформировано...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55840

Содержание
Сообщения в этом обсуждении
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 10:26 
вопрос, сколько ждать патча
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 10:32 
вопрос, зачем его ждать, когда есть либра
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 10:36 
Кто-то по старый памяти уже почти 10 лет продолжает ставить эту поделку.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 10:45 
они знают толк, однако
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Тот_Самый_Анонимус , 21-Сен-21 12:49 
Как вас, либрофилов, корёжит от того что кто-то не такой, как вы.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Тинус Лорвальдс , 21-Сен-21 17:51 
да успокойся ты, никто у тебя эти экскременты мамонта не отбирает, кушай на здоровье.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Тот_Самый_Анонимус , 21-Сен-21 18:34 
Шикарная иллюстрация моих слов.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено ананим.orig , 22-Сен-21 19:03 
похоже это тебя корёжет.
- а вдруг ты такой как все-Е-Е?!
- мама роди меня обратно.

зыж
ты ведь в курсе что оба твоих комментария - офтоп и троллинг? в курсе.
ну и нефиг корчить из себя целку не традиционной ориентации. пардон, уникальной ориентации.

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Тот_Самый_Анонимус , 23-Сен-21 15:10 
Ещё одного покарёженного прорвало.

«Не такие как вы», и «не такие как все» — разные вещи.

Вот вы, радикальные либролюбы, настолько ущербны, что неспособны спокойно воспринимать, что кто-то сидит на офисном пакете, который является родительским, по отношению к вашему. У вас какой-то комплекс неполносценности поэтому. Вы приходите и гадите в новость, которая вас не касается. Напишите ещё какую гадость — потеште своё эго. Только помните, что вы позорите не только себя, но и адекватных пользователей либры.

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Michael Shigorin , 24-Сен-21 17:02 
Слушайте, ну Вы неправы и вместо любого конструктивного ответа, включая молчание, зачем-то включили "нетакаякаквсе" сразу в #35.  У американцев, что ли, учитесь?..
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Тот_Самый_Анонимус , 26-Сен-21 14:15 
> Слушайте, ну Вы неправы и вместо любого конструктивного ответа, включая молчание, зачем-то включили "нетакаякаквсе" сразу в #35.  У американцев, что ли, учитесь?..
>"нетакаякаквсе"

в

>#35

нет. Есть «не такие как вы», что означало пользователей, не пользующихся либрой, и не следующих линии либропартии (как прогнувшийся альт, к примеру).
Я не лезу в новости либры, и не учу пользоваться «правильным» офисом. Так почему либрофилы считают правильным навязывание обожаемого продукта?

И да: это у вас, западников, символ «#» означает номер, используйте его в своей среде, будьте любезны.

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 25-Сен-21 01:47 
На сколько я помню фонд Apache создан для сохранения наследия, т.е. для продуктов воторые сняты с поддержки или считай выкинуты авторами в свободное плавание. Есть какие-то там жнтузиасты что-то делающие, но это все так косметика. Либра же полноценное крыло корпорации вкатывающей в софт нужные бизнесу штуки
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Тот_Самый_Анонимус , 26-Сен-21 14:16 
Возможно. Как это оправдывает хамство либролюбов с навязыванием своего офисного пакета тем, кому он не нужен?

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 10:50 
Какой самый хороший свободный офисный пакет?
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 10:59 
GNOME Office
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено ET , 21-Сен-21 11:18 
Calligra, в противовес так сказать
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 11:58 
Тебе же сказали Libre Office зачем ты еще раз переспросил какой самый хороший? Сейчас тебе юмористы накидают abi office всяких.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено псевдонимус , 21-Сен-21 12:34 
Вопрос был про хороший, а не про уг-либреофис.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 13:32 
Вопрос, существуют ли офисный пакет совмещающий в себе два признака: хороший и свободный.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Michael Shigorin , 24-Сен-21 17:03 
Тогда уж "хороший" и "офисный".
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 22-Сен-21 01:29 
> не платишь

Покупаешь что-либо у американской компании - спонсируешь международный терроризм.

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено xrensgory , 21-Сен-21 15:12 
Ты вор обычный ^^
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:47 
И что же он украл?
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено kitekat , 21-Сен-21 20:05 
Деньги у программистов
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Павел , 21-Сен-21 21:53 
Их дети теперь голодают?
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 25-Сен-21 02:32 
Скажу от имени программистов они не подлучабт тех денег что платят заказчики вся дельта оседает на счетах юр. лиц и компаний и расходуется на праздники или откаты и обналы, а до программистов доходят средние зарплаты по рынку.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 13:30 
Твой ответ не корректный. Я спрашивал про свободный. MSO не свободный.
С таким же успехом я могу не качать на торрентах а использовать в браузере Майкрасофт Офис бесплатной ну или Гугл Докс.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 15:08 
Мне гугл докс очень нравился, пока гугл меня не забанил. В общем, не рекомендую, любая офлайновая поделка лучше хотя бы тем что она тебя не забанит внезапно.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:01 
Я не представляю как гугл может забанить и главное за что.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:10 
К меня было 3 бесплатных аккаунта, может быть поэтому. Я не могу выяснить, за что, у гугла нет службы поддержки.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:45 
У меня больше трех бесплатных аккаунтов, более того, привязаны друг к другу для восстановления и на один номер телефона и не забанили. Ну хотя да, это корпорации, с них взятки гладки. Selfhost Nextcloud наше все.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Michael Shigorin , 24-Сен-21 17:05 
За что угодно: http://youtube.com/user/mshigorin
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 25-Сен-21 16:21 
Я бы удивился еслиб не забанили ибо каждому в интернете известно за что - Вы жеж известный пособник кровавой гэбни
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:04 
Оттуда же и винду брать в комплекте?
Или ты в линуксах им пользуешся? ))
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:46 
На Mac поставить винду а из виртуалки уже Linux XD
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 25-Сен-21 02:33 
Ага чего не сделаешь только бы не покупать зимой обогреватель
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Ilya Indigo , 21-Сен-21 20:19 
Полиэтиленовый!
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 15:23 
Потому что либра - страшно глючная дрянь, которую корёжат смузихлёбы, «небинарные персоны», социальные «активисты» и прочие сумасшедшие. Результат соответствующий. И напонмню, что они поддерживали травлю Столлмана, про которую тут же позабыли когда хайп прошёл.

А OpenOffice продолжает просто работать, скучно и надёжно.

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:06 
В каких дистрах "надежный и спокойный" предустановлен?
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Тот_Самый_Анонимус , 23-Сен-21 15:12 
А что меняет ответ на этот вопрос? То что дистры поучаствовали в истерии против оракла, устроенного гуглом и красношапкой 10 лет назад?
А для пользователей винды вообще безразлично, позволяют ли вам пакетчики ваших дистров чем-либо пользоваться.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:30 
Про травлю Столлмана: половину компаний и дистрибутивов вычеркнуть из своего "выдуманного" списка, что ли и не пользоваться ими? Не выйдет. Скоро вообще ничего не будет твоим принципам соответствовать.
The Document Foundation - BLM
Mozilla - BLM
Moonchild Productions - закрыли Mypal
I2P - засилье zzz
I2Pd - привет ГОСТ
Tor - поддерживали травлю против Столлмана и т.д.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Тот_Самый_Анонимус , 23-Сен-21 16:59 
Вот скажи мне анон, почему травля Столлмана — плохо, а травля оракла, при создании ЛО — хорошо?
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 10:36 
Open перестал развиваться как перешел в апач. Пора уже от опенофиса отказаться.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено еуые , 21-Сен-21 10:58 
Зато в openoffice не ломают то что работало. В libreoffice например сломали поддержку docbook.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено X86 , 21-Сен-21 11:42 
В старых сборках либреофиса тоже не сломано, скорее всего)
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Тот_Самый_Анонимус , 21-Сен-21 12:50 
Отказывайтесь. Вас кто-то силком держит?
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 10:57 
Пора уже апачам объявить, что опенофис официально мертв и больше не будет поддерживаться. Сколько можно труп мучить?
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 11:59 
напиши им) возможно услышат тебя
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 12:00 
Наверно для отчетности надо. А то за что им в фонд деньги отправлять.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено nebularia , 21-Сен-21 13:36 
Там формат DBF. Я, лично, в глаза его не видел, и тем более не открывал его табличным процессором. Так что проблема не то, чтобы очень опасна.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:09 
Так ты почитай зачем этот формат.
Заодно почему открывал табличным
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено у ха ха , 21-Сен-21 10:52 
вот же рeшeто...

жду патча, так как 4 ООО заметно легче LO и хорошо работает на старых компьютерах (при ОЗУ от 256-384 метов)

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 11:35 
В русскоязычном сообществе с каждым годом теряет пользователей.
Сужу по активности форума:
https://forumooo.ru
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 11:57 
ну это понятно... если компьютер нормальный, то LO лучше... тем более в репах есть...
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 12:45 
Чем лучше?
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено у ха ха , 21-Сен-21 12:59 
например, лучшей поддержкой мелкомягких форматов
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 13:06 
Наоборот - АОО в этом лучше.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено у ха ха , 21-Сен-21 13:08 
по бинарным паритет, но новым LO выигрывает в одну калитку.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 15:33 
>но новым LO выигрывает в одну калитку.

Это те форматы, которые суть версия нативного ODF хуже поддерживаются? Не смешите, это же надо было такую чушь выдумать! Зато падает и глючит ЛО на порядок чаще, у разрабов постоянный зуд и бестолковый фичегон, в результате вечно сырое глюкалово выпускают.

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:14 
ну религиозные вопросы обсуждать не вижу смысла. веруй дальше.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 19:01 
Чем АОО.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 11:26 
ОО и так уже фактически заброшен, так что смысла парится из за него нету. Все, кто хотел, давно уехали на ЛО.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 15:26 
Все, кому нужно дело делать сидят на ОО. ЛО ставят только крикуны и борцуны за «социальную справедливость», работать в нём невозможно.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:11 
Почему?
Что им такое делаешь, что LO не смог
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 17:46 
Обычное редактирование документов и презентаций. Пробовал три версии ЛО в разное время, везде натыкался на баги и падения после 5 минут работы. Ну собственно твиттер-активистам скучно заниматься тестированием собственного творчества.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 22:22 
> Все, кому нужно дело делать сидят на ОО. ЛО ставят только крикуны и борцуны за «социальную справедливость», работать в нём невозможно.

Правда? Ваш кругозор немного узок, если думаете, что самый популярный СПО офис ставят только "борцуны", он действительно годится для дела. Насчёт того, что все кто "дела делает" сидят на апаче, тоже сомнительно: документы собственного формата там, конечно, будут работать, но совместимость с DOCX (особенно сделанного в свежих офисах) никуда не делась, а с этим у апача всё плохо.

Да и как видите разработчиков не хватает даже на то, чтобы вовремя уязвимости безопасности исправлять. А это создаёт ощутимый риск вместо "делания дел" тратить время на очистку от вирусов, восстановление потерявшейся информации, починка системы. Если их прибавится, там будут и те же "твиттер-активисты", которые везде мерещатся.

Вам в Glimpse. После этого и LibreOffice покажется раем правых.

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено mos87 , 21-Сен-21 12:07 
Разрешит редактирование этого файла? (с)
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Анто Нимно , 21-Сен-21 14:14 
> не проверяя при этом соответствие фактического типа данных в полях

Классика коммерческой разработки и не только.

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 14:27 
Скорее это унаследовано из 80-х годов. Из СтарОфиса.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено 888 , 21-Сен-21 14:59 
заметил что когда с одного сайта копировал данные и вставлял в табл редактор, то Libra их вставляла более корректно, чем ms excel. И в либре меньше приходилось редактировать их.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 16:17 
>которая в отличие от самого OpenOffice оказалась собрана без механизмов защиты DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization).

Потому что при такой сборке с PIC ломается?

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 16:52 
INTEGER в DBF ??? Они там ничего не напутали?

Поля в DBF без использования VARCHAR всегда фиксированного размера, там нет никаких разделителей между полями, сказано INTEGER размерности 6, значит считываем 6ть байт и все... как ??? как они читают DBF ???

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено userd , 21-Сен-21 17:30 
У DBF куча умеренно совместимых диалектов.
Есть dBASE-овский NUMERIC для которого как раз указывается длина и точность, и хранящийся в файле в виде строки с правым выравниванием и заполнением пробелами, а есть FoxPro-шный INTEGER - всегда 4 байта little endian.

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Ztp , 22-Сен-21 10:24 
В первом случае читается ровно длина поля, во втором 4 байта. То есть в обоих случаях ровно столько сколько выделено памяти.

Как? Как они умудрились считать больше?

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено userd , 22-Сен-21 12:44 
Мне лень читать код;
можно предположить что скопировали код для работы с NUMERIC и немного улучшили, поэтому в функции обработки INTEGER в стеке выделяется буфер 4 байта. а потом в этот буфер заносятся данные в соответствии с длиной указанной для поля в заголовке таблицы.

типа так - только тапками не кидайтесь, я уже 20 лет на C++ не писал -

variant dbf_integer::load(istream& dbfstream)
{
    // char buff[dbf_numeric::MAXLENGTH];
    char buff[4];
    dbfstream.get(buff, length);
    // buff[length] = 0;
    // return variant(atof(buff));
    return variant(from_little_endian(*reinterpret_cast<int32_t*>buff));
}

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 21-Сен-21 20:39 
Разрабов OpenOffice легко винить не вникая в суть и причину проблемы, коей является архитектура фон Неймана.
Покуда манипулируя данными можно перезаписать исполняемый код, подобные баги будут приводить к подобным уязвимостям. DEP и ASLR это костыли, которыми пытаются заткнуть этот архитектурный недостаток.
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Аноним , 23-Сен-21 12:55 
так вот почему зарплату задерживали, а потом и совсем закрылись.. эффект фон-неймана при открытии невалидированного дбф!
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено анон , 23-Сен-21 16:13 
Воно как теперича криворукость оправдывают: фон нейман им виноват111
"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено Michael Shigorin , 24-Сен-21 17:24 
> Воно как теперича криворукость оправдывают: фон нейман им виноват111

"Но виноват-то не жираф,
а тот, кто крикнул из ветвей:
жираф большой, ему видней!" (ц)

"Уязвимость в OpenOffice, позволяющая выполнить код при откры..."
Отправлено InuYasha , 21-Сен-21 22:48 
Вот теперь видно, что OO дорос до M$ Office! =)